什么是开放式漏洞与评估语言

发布网友发布时间：2022-05-01 05:46

共1个回答

热心网友时间：2022-06-25 04:40

OVAL由MITRE公司开发，是一种用来定义检查项、脆弱点等技术细节的一种描述语言。OVAL同样使用标准的XML格式组织其内容。它提供了足够的灵活性，可以用于分析Windows、Linux、Unix以及各种嵌入式操作系统的系统状态、漏洞、配置、补丁等情况，而且还能用于描述测试报告。OVAL能够清晰地对与安全相关的检查点作出描述，并且这种描述是机器可读的，能够直接应用到自动化的安全扫描中。OVAL的核心是“公开”（Open），这就意味着任何人都可以为OVAL的发展作出自己的贡献，共享知识和经验，避免重复劳动。实际上XCCDF设计的目标是能够支持与多种基础配置检查技术交互。其中推荐的，默认的检查技术是MITRE公司的OVAL。在实际的SCAP应用中，XCCDF和OVAL往往是成对出现，XCCDF定义检查单，而OVAL定义每个检查项的具体实施细节。